sql 中 ${} 和 #{}的区别

最新推荐文章于 2024-08-02 16:18:07 发布
最新推荐文章于 2024-08-02 16:18:07 发布
阅读量1.1w 收藏 9
点赞数 3
文章标签: mybatis 中 和 #的区别
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljjzj/article/details/78534162
版权

$将传入的数据直接显示生成在sql中,那么我们使用 ${}的时候

select * from user where name = ${name}; 
${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句中,就会变成下面的语句

 
 

  
  
select * from user where name = "dato"; 

  
  
预编译之前的 SQL 语句已经不包含变量了,完全已经是常量数据了。相当于我们普通没有变量的sql了。


  
  



  
  
#{} 在动态解析的时候, 会解析成一个参数标记符。就是解析之后的语句是:


  
  
select * from user where name = #{name}; 


  
  
select * from user where name = ?; 
${}接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击
${}接收输入参数,类型可以是简单类型,pojo、hashmap。
如果接收简单类型,${}中只能写成value。#{}中可以写成value或其它名称


一般模糊查询的时候使用$,   dct_name like '%${dctName}%'










  
  



  
  



 
 

 

 


                

        

        

    

  


    

      

        

            

              
                
                  水墨之白
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    3
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    9
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
SQL# 与$ 的区别

				
			

			

				

					qq_46538289的博客
				

				

					10-15
					
					4787
					
				

			

		

		

			
				
转载:https://www.cnblogs.com/porotin/p/9122398.html
区别:
(1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是id,则解析成的sql为order by “id”。
(2)$将传入的数据直接显示生成在sql。如:order by useriduser_iduseri​d,如果传入的值是id,则解析成的sql为order by id。
(3)#方式在很大程度上能够防止sql注入。
(4)

			
		

	



                

              
                



	

		

			

				
					
Mybatis的${}和#{}区别

				
			

			

				

					m0_67402588的博客
				

				

					09-09
					
					1258
					
				

			

		

		

			
				
动态 sqlmybatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前, mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{}以及${}提示:以下是本篇文章正文内容,下面案例可供参考深知大多数初级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料。

			
		

	



                


  
              

                


	

		

			

				
					
SQL语句

				
			

			

				

					silence_lu_的博客
				

				

					08-01
					
					421
					
				

			

		

		

			
				
区别:

(1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是id,则解析成的sql为order by "id"。

(2)$将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是id,则解析成的sql为order by id。

(3)#方式在很大程度上能够防止sql注入。

(4)$...

			
		

	





	

		

			

				
					
Mybatis下动态sql##和$$的区别讲解

				
			

			

				

					08-26
				

			

		

		

			
				
今天小编就为大家分享一篇关于Mybatis下动态sql##和$$的区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧

			
		

	



		

			
		



	

		

			

				
					
Mybatis实战:#{} 和 ${}的使用区别和数据库连接池

					
最新发布

				
			

			

				

					LHY537200的博客
				

				

					08-02
					
					1504
					
				

			

		

		

			
				
{} 和 ${}#{} 和 ${} 在MyBatis框架都是用于SQL语句参数替换的标记,但它们在使用方式和处理参数值上存在一些显著的区别。特点1.1Interger类型的参数1.先看Interger类型的参数2.观察日志3.查看日志的输出语句我们输⼊的参数并没有在后⾯拼接,id的值是使⽤?进⾏占位. 这种SQL 我们称之为"预编译SQL"。4.我们把#{}改成${}5.再次查看输出日志信息可以看到, 这次的参数是直接拼接在SQL语句了。

			
		

	





	

		

			

				
					
sql语句#{}

				
			

			

				

					weixin_30362083的博客
				

				

					10-17
					
					647
					
				

			

		

		

			
				
例:Student stu = new Student("田七",27,95);    Map<String,Object> map=new HashMap<String, Object>();   map.put("nameCon", "张");   map.put("ageCon", 23);   map.put("stu", stu);...

			
		

	





	

		

			

				
					
mybatis学习笔记(2) - sql语句里的#{}和${}

				
			

			

				

					HuashirenYty的博客
				

				

					07-09
					
					183
					
				

			

		

		

			
				
#{}表示一个占位符号,#{}接收输入参数,类型可以是简单类型,pojo,hashmap。
如果接收简单类型,#{}可以写成value或其它名称。
#{}接收pojo对象值,通过OGNL读取对象的属性值,通过属性.属性.属性…的方式
获取对象属性值。
$ {}表示一个拼接符号,会引用sql注入,所以不建议使用${}。
$ {}接收输入参数,类型可以是简单类型,pojo、hashmap。
如果接...

			
		

	





	

		

			

				
					
sql语句的#{}与${}

				
			

			

				

					weixin_50522817的博客
				

				

					07-12
					
					480
					
				

			

		

		

			
				
sql语句#{}和${}的区别

#{}

	#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号
		eg:
		order by #user_id#
		如果传入的值是1,那么解析成sql时的值为order by “1”
		如果传入的值是id,则解析成的sql为order by “id”
	
	${}
	$将传入的数据直接显示生成在sql
		eg:
		order by userid
		如果传入的值是1,那么解析成sql时的...

			
		

	





	

		

			

				
					
MybatisSQL语句#{}和${}的区别

				
			

			

				

					xp_xpxp的博客
				

				

					06-30
					
					757
					
				

			

		

		

			
				
1>.#{}是预编译处理,${}是字符串替换;
2>.在动态SQL解析阶段,#{}和${}会有不同的表现:

例如SQL语句: select * from table where field1=#{xxx} AND field2=’${xxx}’;
①.#{}会被解析为一个JDBC预编译语句(prepared statement)的参数标记符占位符?,之后再调用PreparedStatement的set方法来赋值.上面的SQL语句就被解析为:
...... field1=?

②.${}仅仅为一

			
		

	





	

		

			

				
					
MyBatis底层实现(二)SQL注入之$和#

				
			

			

				

					surpass0728的博客
				

				

					06-14
					
					1898
					
				

			

		

		

			
				
SQL注入是一种数据库攻击手段。攻击者通过向应用程序提交恶意代码来改变原SQL语句的含义,进而执行任意SQL命令,达到入侵数据库乃至操作系统的目的。注入类型有三种:基本类型   自定义类型    Map集合类型&lt;select id="queryByUserName" resultMap="userResultMap" 			parameterType="String"&gt;
       ...

			
		

	





	

		

			

				
					
Mybatis学习之路03 $与#区别

				
			

			

				

					安东尼的小不二的博客
				

				

					10-25
					
					230
					
				

			

		

		

			
				
1. #与$区别mybatis,#与$的都可以起到变量替换的作用,但是二者的使用场景却是截然不同的。

#{}的作用主要是替换预编译语句(PrepareStatement)的占位符?
比如xml映射文件语句
<insert id="insert" paremeterType="User">
	INSERT INTO person (name) VALUES(#{name});
</insert>	


$
$符号的作用是直接进行字符串替换
<insert id="in

			
		

	





	

		

			

				
					
sql语句#{}和${}的区别

				
			

			

				

					weixin_30772105的博客
				

				

					03-05
					
					69
					
				

			

		

		

			
				
#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。
$将传入的数据直接显示生成在sql。如:order by userid,如果传入的值是111,那么解析成sql时的值为order by...

			
		

	





	

		

			

				
					
MyBatis动态sql之${}和#{}区别

				
			

			

				

					weixin_30508241的博客
				

				

					05-30
					
					66
					
				

			

		

		

			
				
前言
​ 接触mybatis也是在今年步入社会之后,想想也半年多了,缺没时间去系统的学习,只知道大概,也是惭愧。
​ 不知道有多少刚毕业的同学和我一样,到现在还没仔仔细细去了解你每天都会见到使用到的框架呢?
​ 什么?你也不知道mybatis动态sql${}和#{}的差异?其实我也是今天才知道的,我们一起来学习一下吧。
正文
不够刺激,再增加一点前戏
​ 在mybatis,使用sq...

			
		

	





	

		

			

				
					
SQL —— #{} 和 ${}

				
			

			

				

					看了就会暴富的博客!
				

				

					11-17
					
					3474
					
				

			

		

		

			
				
问题

sql语句可以使用#{} 或${}进行传参,那么他们有什么区别,使用上有什么需要注意的地方呢?

解决

在预编译的处理是不一样的。#{} 在预处理时,会把参数部分用一个占位符 ? 代替,变成如下的 sql 语句:select * from a where name = ?;

而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成:select * from a where name = 'zhangsan';

实际使用

优先使用 #{}。因为 ${} 可能会导致..

			
		

	





	

		

			

				
					
sql映射文件#{}和${}两者之间有什么区别

				
			

			

				

					m0_46639782的博客
				

				

					09-24
					
					470
					
				

			

		

		

			
				
MyBatisSQL映射文件,#{} 和 ${} 是两种用于插入变量值的方式。

			
		

	





	

		

			

				
					
sql语句使用#{}与${}的区别

				
			

			

				

					m0_64823170的博客
				

				

					02-28
					
					929
					
				

			

		

		

			
				
比如一个登录表单,攻击者在用户名字段输入 admin' --,如果后端SQL语句是。这里 -- 后面的内容被注释掉,因此SQL语句实际上忽略了密码检查。则实际执行的SQL语句变成了。

			
		

	





	

		

			

				
					
#{} 导致 sql 语法分析错误

				
			

			

				

					歪比巴卜
				

				

					04-27
					
					598
					
				

			

		

		

			
				
1. #{} 与 ${} 的区别


要了解这个坑就要先了解 #{} 和 ${} 的区别[1.2]





#{}
${}




变量替换
变量替换后会自动加上单引号
变量替换后不会加上单引号


sql 注入
能防止 sql 注入
不能防止 sql 注入


拼接 sql 方式
以预编译的形式,将参数设置到 sql 语句,使用的是 PreparedStatement
直接拼装在 sql 语句


效率
较低
较高




2. 我的问题


我的问题是变量替换时添加单引号所导致的


mybati

			
		

	





	

		

			

				
					
MyBatis之动态SQL、#与$的区别和结果映射

				
			

			

				

					weixin_74268571的博客
				

				

					08-24
					
					3373
					
				

			

		

		

			
				
MyBatis动态SQL的概念与常用元素,三种模糊查询的方式以及#和$的区别Mybatis的结果映射---resultType与resultMap的区别

			
		

	





	

		

			

				
					
mybatis的$和#占位符区别sql注入怎么解决?

				
			

			

				

					06-12
				

			

		

		

			
				
MyBatis的#{}和${}都是用于占位符的,但是它们的作用有所不同。

#{}用于预编译参数,它会将参数值转义后再拼接到SQL语句,可以有效防止SQL注入攻击。

${}用于拼接SQL语句,它会将参数值原封不动地拼接到SQL语句,如果参数值包含SQL注入攻击的关键字,就会造成安全问题。

因此,为了避免SQL注入攻击,建议尽量使用#{}占位符,并且不要将参数值直接拼接到SQL语句。

如果必须使用${}占位符,可以通过在SQL语句使用转义字符或者使用正则表达式对参数值进行过滤,来防止SQL注入攻击。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值